Description complète

Nume:	BDS/Prorat.RC
Descoperit pe data de:	30/06/2005
Tip:	Backdoor Server
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	350.764 Bytes
MD5:	3648ef98f2bfba463fd46f8180d267c5
Versiune VDF:	6.31.00.124

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Mcafee: BackDoor-AVW
   • Kaspersky: Backdoor.Win32.Prorat.19.i
   • TrendMicro: BKDR_PRORAT.I
   • Sophos: Troj/Prorat-19
   • Grisoft: BackDoor.Prorat.2.BC
   • VirusBuster: trojan Backdoor.Prorat.AR1
   • Bitdefender: Backdoor.Prorat.19

Initial identificat ca:
   • TR/Dldr.Small.rc.1

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Inchide aplicatiile de securitate
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

Imediat dupa lansarea in executie, pe ecran este afisat:

Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\fservice.exe
   • %SYSDIR%\sservice.exe
   • %WINDIR%\services.exe

Sunt create fisierele:

– %SYSDIR%\winkey.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Prorat.19.I.3

– %SYSDIR%\reginv.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.Agent.co.2

– %WINDIR%\ktd32.atm Acest fisier stocheaza datele introduse de utilizator la tastatura.

Registrii sistemului Urmatoarele chei sunt adaugate in registri, in mod repetat, pentru a asigura pornirea procesului dupa reboot.

– [HKLM\software\microsoft\windows\currentversion\policies\explorer\
   Run]
   • "DirectX For Microsoft® Windows"="%SYSDIR%\fservice.exe"

– [HKLM\software\microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\software\microsoft\Windows NT Script Host\Microsoft DxDiag\
   WinSettings]
   • "LanNotifie" = ""
   • "KSil" = "0"
   • "Hata" = "Invalid memory block address"
   • "Sifre" = "ln{`su"
   • "Port" = "4008"
   • "Online_List" = ""
   • "Mail" = "bishrhrbs`{x0101Ax`inn/bnl"
   • "Kurban_Ismi" = "trds"
   • "ICQ_UIN2" = ""
   • "ICQ_UIN" = "gtrhnovdc/on,hq/hogn"
   • "XP_SYS_Recovery" = "1"
   • "XP_FW_Disable" = "1"
   • "FW_KILL" = "1"
   • "Bulas" = "1"

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
   • "StubPath"="%SYSDIR%\sservice.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   • "Group"=""

Urmatoarele chei din registri sunt modificate:

– [HKLM\software\microsoft\\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Shell"="Explorer.exe"
   Noua valoare:
   • "Shell"="Explorer.exe %SYSDIR%\fservice.exe"

Dezactiveaza Windows Firewall:
– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

Dezactiveaza Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:

De la:
Expeditorul email-ului este urmatorul:
   • ProRat V1.9:Fix-10 <ProRat@Yahoo.Com>

Catre:
Destinatarul mesajului este:
   • chrisiscrazy1010@yahoo.com

Subiect:
Urmatorul:
   • ProRat [user Online]

Corpul email-ului:
Corpul email-ului este:

   • [ProRat V1.9:Fix-10]
     Victim is Online.
     IP Address(es) :
     %IP-ul curent%

     Port :5119
     Password :mozart
     Victim name :user
     User name :%numele utilizatorului curent%
     Computer Name :%numele computerului%
     Date :%data curenta%
     Time :%ora curenta%

Email-ul arata astfel:

Terminarea proceselor Lista cu procesele oprite:
   • _AVP32.EXE; _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; _SMC.EXE; ACKWN32.EXE;
      ADMNTOOL.EXE; ADVXDWN.EXE; AGENTA.EXE; AGENTSVR.EXE; ALERTSVC.EXE;
      ALG.EXE; ALOGSERV.EXE; AMAPP.EXE; AMON.EXE; AMON9X.EXE; AMSERV.EXE;
      AMSTATS.EXE; ANTS.EXE; ANTTROJ.EXE; ANT-TROJAN.EXE; ANTVRUS.EXE;
      APLCA32.EXE; APMONTOR.EXE; APVXDWN.EXE; ASHDSP.EXE; ASHQUCK.EXE;
      ATC¿N.EXE; ATGUARD.EXE; ATRO55EN.EXE; ATUPDATER.EXE; ATWATCH.EXE;
      ATWATCH.EXE; AUTOTRACE.EXE; AVCONSOL.EXE; AVCONSOL.EXE; AVENGNE.EXE;
      AVGCC32.EXE; AVGCTRL.EXE; AVGNT.EXE; AVGSERV.EXE; AVGSERV9.EXE;
      AVGUARD.EXE; AVGW.EXE; AVKPOP.EXE; AVKSERV.EXE; AVKSERVCE.EXE;
      AVKWCTL.EXE; AVKWCTL9.EXE; AVP.EXE; AVP32.EXE; AVPCC.EXE; AVPCC.EXE;
      AVPM.EXE; AVPRSRV.EX; AVSCHED32.EXE; AVSYNMGR.EXE; AVSYNMGR.EXE;
      AVWN.EXE; AVWNNT.EXE; AVXGU.EXE; AVXLVE.EXE; AVXMONTOR9X.EXE;
      AVXMONTORNT.EXE; AVXQUAR.EXE; AVXW.EXE; BD_PROFESSONAL.EXE; BDEF.EXE;
      BDSERVER.EXE; BLACKCE.EXE; BLACKD.EXE; BMASN.EXE; BMAVSP.EXE;
      BOOTSCAN.EXE; BOOTWARN.EXE; BORG2.EXE; BPCP.EXE; BS120.EXE; BSP.EXE;
      CDP.EXE; CFADMN.EXE; CFAUDT.EXE; CFGNTPR.EXE; CFGWZ.EXE; CFNET.EXE;
      CFNET32.EXE; CLAW95.EXE; CLAW95CF.EXE; CLEAN.EXE; CLEANER.EXE;
      CLEANER3.EXE; CLEANPC.EXE; CLOAD95.EXE; CLOADNT.EXE; CMGRDAN.EXE;
      CMON.EXE; CMON016.EXE; CONNECTONMONTOR.EXE; CPF9X206.EXE;
      CPFNT206.EXE; CSUPP95.EXE; CSUPPNT.EXE; CTRL.EXE; CV.EXE; CWNB181.EXE;
      CWNTDWMO.EXE; DEFSCANGU.EXE; DEFWATCH.EXE; DEPUTY.EXE; DOORS.EXE;
      DPATROL.EXE; DPF.EXE; DRWEB32.EXE; DRWEBSCD.EXE; DVP95.EXE;
      DVP95_0.EXE; ECENGNE.EXE; EFPEADM.EXE; ENT.EXE; ESAFE.EXE;
      ESCANH95.EXE; ESCANHNT.EXE; ESCANV95.EXE; ESPWATCH.EXE; ETRUSTCPE.EXE;
      EVPN.EXE; EXANTVRUS-CNET.EXE; EXPERT.EXE; FACE.EXE; F-AGNT95.EXE;
      FAMEH32.EXE; FAST.EXE; FCH32.EXE; FH32.EXE; FLOWPROTECTOR.EXE;
      FNDVRU.EXE; FNRB32.EXE; F-PROT.EXE; F-PROT95.EXE; FP-WN.EXE;
      FREWALL.EXE; FRW.EXE; FSA.EXE; FSAA.EXE; FSAV.EXE; FSAV32.EXE;
      FSAV530STBYB.EXE; FSAVSTRT.EXE; FSM32.EXE; FSMA32.EXE; FSMB32.EXE;
      F-STOPW.EXE; FW2000.EXE; GBMENU.EXE; GBPOLL.EXE; GENERCS.EXE;
      GLADATOR.EXE; GUARD.EXE; GUARDDOG.EXE; GUARDER.EXE;
      HACKERELMNATOR.EXE; HACKTRACERSETUP.EXE; HTLOG.EXE; HWPE.EXE;
      JAMMER.EXE; JED.EXE; KAVLTE40ENG.EXE; KAVPERS40ENG.EXE; LDNETMON.EXE;
      LDPRO.EXE; LDPROMENU.EXE; LDSCAN.EXE; LOCKDOWN.EXE; LOCKDOWN2000.EXE;
      LOGMON.EXE; LOOKOUT.EXE; LUALL.EXE; LUAU.EXE; MCAGENT.EXE;
      MCMNHDLR.EXE; MCSHELD.EXE; MCTOOL.EXE; MCVSRTE.EXE; MCVSSHLD.EXE;
      MFW2EN.EXE; MGAVRTCL.EXE; MGAVRTE.EXE; MGHTML.EXE; MGU.EXE; MNLOG.EXE;
      MONTOR.EXE; MPFAGENT.EXE; MPFSERVCE.EXE; MPFTRAY.EXE; MPFTRAY.EXE;
      MSSMMC32.EXE; MU0311AD.EXE; MWATCH.EXE; N32SCANW.EXE; NAVAPW32.EXE;
      NAVDX.EXE; NAVLU32.EXE; NAVSTUB.EXE; NAVW32.EXE; NAVWNT.EXE;
      NC2000.EXE; NEOWATCHLOG.EXE; NEOWATCHTRAY.EXE; NETARMOR.EXE;
      NETMON.EXE; NETNFO.EXE; NETSCANPRO.EXE; NETSPYHUNTER-1.2.EXE;
      NETUTLS.EXE; NOD32.EXE; NORMST.EXE; NP.EXE; NPF40_TW_98_NT_ME_2K.EXE;
      NPFMESSENGER.EXE; NPSSVC.EXE; NSCHED32.EXE; NSSERV.EXE; NSUM.EXE;
      NTRTSCAN.EXE; NTVDM.EXE; NTXCONFG.EXE; NU.EXE; NVARCH16.EXE;
      NVC95.EXE; NWSERVCE.EXE; NWTOOL16.EXE; NYMSE.EXE; OMON98.EXE;
      OSTRONET.EXE; OUTPOST.EXE; P SPF.EXE; PADMN.EXE; PANXK.EXE;
      PARMOR.EXE; PAVCL.EXE; PAVFRES.EXE; PAVPROXY.EXE; PAVSRV51.EXE;
      PAVW.EXE; PCC2002S902.EXE; PCC2K_76_1436.EXE; PCCCLENT.EXE;
      PCCGUDE.EXE; PCCNTMON.EXE; PCCOMON.EXE; PCCPFW.EXE; PCCWN97.EXE;
      PCCWN98.EXE; PCFWALLCON.EXE; PCSCAN.EXE; PERSCOPE.EXE; PERSFW.EXE;
      PF2.EXE; PFWADMN.EXE; PLATN.EXE; PNGSCAN.EXE; POP3TRAP.EXE;
      POPROXY.EXE; PORTDETECTVE.EXE; PORTMONTOR.EXE; PPTBC.EXE; PPVSTOP.EXE;
      PROCMAN.EXE; PROGRAMAUDTOR.EXE; PROPORT.EXE; PROTECTX.EXE; PURGE.EXE;
      PVEW95.EXE; QCONSOLE.EXE; QSERVER.EXE; RAPAPP.EXE; RAV7.EXE;
      RAV7WN.EXE; RAV8WN32ENG.EXE; RAVMON.EXE; RAVWN8.EXE; REALMON.EXE;
      REGSHOT.EXE; RMVTRJAN.EXE; RRGUARD.EXE; RS.EXE; RSHELL.EXE;
      RTVSCN95.EXE; RULAUNCH.EXE; SAFEWEB.EXE; SBSERV.EXE; SCAN.EXE;
      SCAN32.EXE; SCANPM.EXE; SCRSCAN.EXE; SD.EXE; SFC.EXE; SGSSFW32.EXE;
      SH.EXE; SHN.EXE; SMC.EXE; SOF.EXE; SPF.EXE; SPFW.EXE; SPHNX.EXE;
      SPYXX.EXE; SRV95.EXE; SS3EDT.EXE; ST.EXE; ST2.EXE; SUPFTRL.EXE;
      SUPPORTER5.EXE; SWEEP95.EXE; SWNETSUP.EXE; SYMPROXYSVC.EXE;
      TASKALERT.EXE; TAUMON.EXE; TAUSCAN.EXE; TBSCAN.EXE; TC.EXE; TCA.EXE;
      TCM.EXE; TDS2-98.EXE; TDS2-NT.EXE; TDS-3.EXE; TFAK.EXE; TFAK5.EXE;
      TGBOB.EXE; THGUARD.EXE; TRJSCAN.EXE; TROJAN.EXE; TROJANHUNTER.EXE;
      TROJANTRAP3.EXE; TTANN.EXE; TTANNXP.EXE; TUCONF.EXE; UMXAGENT.EXE;
      UMXLDRA.EXE; V530WTBYB.EXE; V95.EXE; VBCONS.EXE; VBUST.EXE;
      VBWN9X.EXE; VBWNNTW.EXE; VENGNE.EX; VET32.EXE; VET95.EXE; VETTRAY.EXE;
      VNLAN300.EXE; VNPC3000.EXE; VPC32.EXE; VPC42.EXE; VPFW30S.EXE; VPTR
      AY.EXE; VPTRAY.EXE; VR-HELP.EXE; VSCAN40.EXE; VSCHED.EXE; VSECOM.EXE;
      VSHWN32.EXE; VSHWN32.EXE; VSMAN.EXE; VSMAN.EXE; VSMON.EXE; VSSTAT.EXE;
      VSSTAT.EXE; WATCHDOG.EXE; WATCHER.EXE; WEBSCANX.EXE; WEBTRAP.EXE;
      WFNDV32.EXE; WGFE95.EXE; WMMUN32.EXE; WNGATE.EXE; WNRECON.EXE;
      WNROUTE.EXE; WNT.EXE; WRADMN.EXE; WRCTRL.EXE; WSBGATE.EXE;
      XCOMMSVR.EXE; XPF202EN.EXE; ZAPRO.EXE; ZATUTOR.EXE; ZAUNST.EXE;
      ZONALM2601.EXE; ZONEALARM.EXE

Lista cu serviciile dezactivate:
   • System Restore
   • Internet Connection Firewall (Windows Firewall)/Internet Connection Sharing
   • Norton AntiVirus Auto-Protect Service (navapsvc)

Backdoor Deschide porturile:

– %WINDIR%\services.exe pe portul TCP 5119 pentru a oferi functionalitate de backdoor.
– %WINDIR%\services.exe pe portul TCP 5112 pentru a functiona ca server FTP.
– %WINDIR%\services.exe pe portul TCP 51100 pentru a functiona ca server FTP.

Servere contactate:
Unul dintre:
   • fusionweb.no-ip**********:41100
   • fusionweb.no-ip**********:4110
   • fusionweb.no-ip**********:4112
   • fusionweb.no-ip**********:41100

Astfel se pot transmite informatii si se poate obtine control la distanta. In plus, conexiunea e reluata periodic.

Posibilitati de control la distanta:
    • Listare director
    • descarcare fisier
    • editare registru sistem
    • executarea unui fisier
    • deschidere consola
    • trimitere email-uri

Furt de informatii Incearca sa obtina urmatoarele informatii:
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– Parolele din urmatoarele programe:
   • CuteFTP
   • FlashFXP

– O rutina de logare este pornita dupa ce se tasteaza urmatorul text:
   • %any key%

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra

Alte informatii Sir de caractere:
In plus, mai contine urmatorul sir de caractere:
• [ ProRat v1.9 Trojan Horse - Coded by PRO Group - Made in Turkey ]

Tehnologie Rootkit Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.

Ascunde urmatoarele:
– Propriile chei de registru

Metoda folosita:
• Ascuns de Windows API

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• UPX

Description insérée par Daniel Constantin le mercredi 15 mars 2006
Description mise à jour par Daniel Constantin le mardi 21 mars 2006

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils